Metodología de análisis de riesgos en los sistemas de información de una empresa bancaria

Abstract

Las empresas se encuentran expuestas a diversos riesgos, emitiéndose riesgo como la ocurrencia de eventos que generan consecuencias adversas en el logro de los objetivos de la empresa. En particular, las empresas bancadas se encuentran expuestas a un conjunto específico de riesgos, propios de la naturaleza de sus operaciones. Los riesgos asociados al uso de la tecnología de información constituyen uno de estos riesgos. Las empresas bancadas son cada vez más dependientes del uso de la tecnología de información para la continuidad de sus operaciones diarias. Sin embargo, conforme crece esta dependencia, se encuentran cada vez más expuestas a los riesgos asociados al uso intensivo de esta tecnología. Frente a ello, surge la necesidad de contar con una metodología sistemática que permita analizar dichos riesgos y evaluar las actividades de control implementadas para administrar estos riesgos. El estudio realizado permitió identificar diez áreas de riesgo en los sistemas de información a los que se encuentran expuestas las empresas bancadas. Estas áreas de riesgo fueron agrupadas en cuatro dominios: Planeamiento y Organización, Adquisición, Desarrollo e Implementación, Operaciones, y Monitoreo y Control. La Metodología desarrollada como resultado del estudio, considera seis fases de ejecución: Inicio, Identificación de riesgos, Evaluación de actividades de control, Medidas correctivas, Calificación y Reporte Final. En el desarrollo de la fase 3, se elaboraron Guías de Evaluación para cada una de las diez áreas de riesgo identificadas inicialmente. El desarrollo de la metodología tomó como referencia el modelo COBIT de la Asociación ISACA, el Modelo de Análisis de Riesgos de la Reserva Federal de Estados Unidos, y la metodología MAGERIT del Consejo Superior de Informática de España, entre otras fuentes metodológicas de referencia.